风险管理和合规委员会
1)任命和授权
风险管理和合规委员会(以下简称委员会)是合议机构,负责:- 形成并维护Risk Appetite和合规原则;
- 核准关键政策/标准及其修订;
- 控制关键风险(运营、监管、知识产权、金融、第三方);
- 建立合规性指标和SLO/SLA并监督其实现;
- 处理升级和优先事项冲突;
- 提供"审核就绪"状态(证据基础、解决方桉协议)。
2)组成和独立
强制性成员(voting):- Compliance/DPO(合作董事)负责人)
- CISO/Head of Security (co-chair)
- Head of Legal
- Head of Risk/Enterprise Risk
- CFO/财务(用于影响评估)
- 业务/产品代表(VP/Director)
- 平台/基础架构主管或CTO delegate
- 内部审计(观察员)
- HR/L&D(培训/认证)
- Procurement/Vendor Mgmt(第三方)
- Data/Platform (DWH/Lineage/CCM)
独立原则:不存在利益冲突,记录记录(自我报告),记录观察员的作用。
3)委员会的RACI
(R — Responsible;A — Accountable;C — Consulted;I — Informed)
4)规则和频率
常规模式:每月一次(90分钟)+每周KPI/KRI快速监控(15分钟)。
危机制度(事件/监管机构):在稳定之前每24至48小时举行一次会议。
法定人数:≥ 2/3的投票人,包括一名共同主席。
解决方案:简单多数;高风险为2/3,而否决权则由co-chairs(记录在法规中)。
5)传入文物(inputs)
Risk Register和Heatmap(更新的KRI)。
Compliance KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage и др.
政策变更记录(主要/次要/紧急情况)。
带有到期日期和补偿控制的Waivers注册表。
Incidents&Findings:Sev1/Sev2,可重复性,重复状态。
Vendor Risk:关键提供商,SLA/证书违规行为。
审计/评选:状态、公开评论、"按键"准备。
6)出口和文物(outputs)
解决方案协议,具有所有者,尽职调查和预期风险影响。
更新的Risk Appetite声明和优先事项。
有条件的策略和例外(waivers)的apruv/拒绝。
高风险的Board/CEO升级信/解决方案。
通信一页和团队任务(ITSM/GRC中的标记)。
7)示范议程(60-90分钟)
1.KPI/KRI和异常摘要(10英寸)。
2.事件/Sev1更新和教训(15英寸)。
3.政策:主要变化,冲突解释,本地化(15英寸)。
4.第三方:违反SLA/证书,子处理器(10英寸)。
5.Waivers:扩展/关闭,红色区域(10英寸)。
6.审计/摘要:准备状态和"审核包"(10")。
7.解决方案和任务分配(10")。
8)决策和升级程序
决策卡(模板):上下文 选项 风险/成本影响 建议 表决 。
升级:如果风险>Appetite或逾期>SLA-Executive/Board外卖。
评论:事后评估30-60天后的决策效果(影响评论)。
9)集成和端到端流
RBA(风险审计):findings →委员会议程→ 所有者/due →关闭控制。
CCM(连续监测):Alerts/度量标准 →规则/阈值的优先级。
Policy Lifecycle/Change Mgmt:主要编辑→ apruv,沟通,培训。
Vendor DD/Outsourcing:得分模型和差距表→ 合同/SLA条款。
Incident Mgmt:SOAR/PR/Legal花花公子→报告和教训。
10)委员会绩效指标
重新定期:委员会按时结束任务的百分比(按性别分列)。
决策领导时间:从提出问题到解决的时间中位数。
Waiver Hygiene:当前到期日的%例外(目标:100%)。
Repeat Findings:12个月内重播的比例(目标:↓)。
审计准备时间:一个小时到完整的"审计包"。
风险减少指数:QoQ总风险∆。
Communication SLA:根据主要解决方桉及时通知的角色百分比。
11)委员会章程(模板)
目标:风险和合规监督;保护公司和客户的利益。
范围:所有辖区/业务线/IT系统/第三方。
权力:批准政策/例外;查询数据/审计;升级到董事会。
组成和法定人数:(参见第2和第4节)。
利益冲突:声明,记录,期刊。
协议:全分钟标准(agenda,决定,声音,所有者,due,对事件的引用)。
章程修订:每年或应董事会要求。
12)文档模板
12.1 Decision Card
主题/背景/规范/风险
选择和评估(成本、时间、对SLA/KRI的影响)
决定后的建议和风险水平
执行所有者和期限
投票总数(赞成/反对/弃权)
12.2会议纪要
日期/法定人数/参与者
二.议程
讨论(简要介绍项目)
解决方桉(owner, due,成功指标)
公开问题/上报
应用程序(dashbords,报告,WORM存档链接)
12.3 Risk Appetite矩阵(示例)
13)委员会的达什伯德(最低)
风险热图:概率×影响×残留风险。
Compliance KPI Center: DSAR, Access Hygiene, Drift, Evidence Coverage.
Incidents&Findings:Sev1/Sev2,MTTR,可重复性。
政策变化:专业/次要/紧急流水线和学习状态。
Vendor Risks:证书、SLA、子处理器、事件。
Waivers&Deadlines:主动/过期,升级。
审计准备:审计/认证的"审计包"百分比。
14)委员会年度日历
每月:定期传票(第7条)。
每季度:Risk Appetite修订版,KPI/KRI趋势,findings总数。
上半年:对关键政策和Waivers投资组合的修订。
每年:委员会章程,审计/认证计划,吸取教训。
15)危机处理(Sev1/Regulatory)
立即召集;战斗节奏更新(例如,每4小时)。
统一通信(法律/PR),法律保持控制。
访问回路/禁用数据集成/隔离解决方桉。
一个单独的事件协议和带有行动的后太平间。
16)反模式
该委员会是"邮箱",没有权力和截止日期。
缺乏协议和证据是审计中的争议。
永恒的等待者,没有到期日期和补偿控制。
悬而未决的议程:没有决策卡,没有选择和效果评估。
KPI没有所有者,也没有与Risk Appetite的联系。
没有托管回收的利益冲突。
17)委员会成熟度模式(M0-M4)
M0地狱专用:罕见的会议,没有指标和协议。
M1正式化:章程,法定人数,基本协议,每月会议。
M2可控:KPI/KRI dashboards, decision cards, waivers控制。
M3集成:与CCM/RBA/Policy-as-Code的通信,"按键试用"。
M4 Assured:预测KRI、自动升级、定期影响审查解决方桉。
18)相关的wiki文章
以风险为导向的审计(RBA)
连续合规性监控(CCM)
KPI和合规度量
法规遵从性政策变更管理
策略和过程生命周期
尽职调查与外包风险
法律保留和数据冻结
底线
强大的委员会不是"会议",而是风险管理机制:明确的任务授权,独立性和法定人数,行车记录簿中的数据,与所有者和时间表有关的决定,绩效控制和证据基础。然后,合规性成为可预测的战略支柱而不是业务的刹车。